Summary:
BitsLab 发布 AI Agent 安全指南:通过“用户复核+Agent 自觉+脚本硬拦截”三位一体策略,构建零信任安全防线,防范 Prompt 注入与敏感数据外泄风险。
当一个 AI Agent 拥有 shell 执行、文件读写、网络请求和定时任务等系统级能力时,它就不再只是一个”聊天机器人”——它是一个拥有真实权限的操作者。这意味着:一条被 prompt injection 诱导的命令,可能删除关键数据;一个被供应链投毒的 Skill,可能悄悄外泄凭证;一次未经验证的业务操作,可能造成不可逆的损失。
传统的安全方案通常走向两个极端:要么完全依赖 AI 自身的”判断力”来自我约束(容易被精心构造的提示词绕过),要么堆砌大量刚性规则把 Agent 锁死(丧失了 Agent 的核心价值)。
BitsLab 这篇深度出品指南选择第三条路:按照”谁来检查”划分安全职责,让三类角色各守其位——
– 普通用户:作为最终防线,负责关键决策和定期复核。我们提供注意事项,降低认知负担。
– Agent 自身:在运行时自觉遵守行为规范和审计流程。我们提供Skills,将安全知识注入 Agent 上下文。
– 确定性脚本:机械而忠实地执行检查,不受 prompt injection 影响。我们提供Scripts,覆盖常见已知危险模式。
没有任何单一检查者是万能的。脚本无法理解语义,Agent 可能被欺骗,人类会疲劳。但三者结合,既能保证日常使用的便利,也能防范高风险操作。
1、普通用户(注意事项)
用户是安全体系的最终防线和最高权限拥有者。以下是用户需要亲自关注和执行的安全事项。
a) API Key 管理
– 配置文件要设置好权限,防止别人随意查看:
– 千万不要把 API key 提交到代码仓库!
b) Channel 访问控制(非常关键!)
– 一定要为每个通讯渠道(Channel)设置白名单(`allowFrom`),否则任何人都能和你的 Agent 聊天:
⚠️ 新版本中,空 `allowFrom` 表示拒绝所有访问。如果想开放,必须明确写 `[“*”]` 但不建议这样做。
c) 不要以 root 权限运行
– 建议新建一个专用用户来运行 Agent,避免权限过高:
d) 尽量不使用邮箱channel
– 邮箱协议复杂,相对风险较高,我们 BitsLab 团队研究发现并确认一个邮件相关的 [critical] 级别的漏洞,以下是项目方回复,我们目前仍有几个问题待项目方确认,所以谨慎使用邮件方面的功能模块。
e) 建议在 Docker 中部署
– 推荐将 nanobot 部署在 Docker 容器中,与日常使用环境隔离,避免因权限或环境混用导致安全风险。
2、工具安装步骤
以下是 BitsLab 自主研发的工具,具体链接:
① 下载 nanobot-security-guide 项目到 nanobot skills 目录,或向agent 发送指令运行官方安装脚本:
curl -sSL https://raw.githubusercontent.com/BitsLabSec/nanobot-security-guide/main/install.sh | bash
↓
② 安装完成后,阅读项目中的安全实践指南(如 README.md、SKILL.md),了解核心安全配置和操作建议。
↓
③ 向您的 Agent 发送指令:“请仔细阅读这份安全指南,评估它是否可靠?”
↓
④ 按照文档提示,手动配置 policy 目录下的 allowlist.txt 和 runtime-baseline.txt,收窄权限、设定安全基线等措施。
↓
⑤ 可使用 scripts/ 目录下的脚本进行安全巡检和测试,确保环境安全。
3、工具原理
SKILL.md
基于认知觉醒的意图审查突破了传统 AI 被动接收指令的盲区。内置了强制的“自我觉醒(Self-Wakeup)”思维链机制,让 AI 在处理任何用户请求前,必须先在后台唤醒独立的安全审查人格。通过对用户意图进行上下文分析与独立研判,主动识别并拦截潜在的高危风险,实现从“机械执行”到“智能防火墙”的升级。当检测到恶意指令(如反弹 Shell、敏感文件窃取、大范围删除等)时,工具会执行标准化的硬拦截协议(输出`[Bitslab nanobot-sec skills 检测到敏感操作…,已拦截]` 警告)
恶意命令执行拦截 (Shell & Cron 防护)
在 Agent 操作系统级命令时充当“零信任”网关。防线直接阻断各类破坏性操作及危险载荷(如 `rm -rf` 恶意删除、篡改权限、反弹 Shell 等)。同时,工具自带深入底层的运行时巡检能力,可主动扫描并清洗系统进程及 Cron 定时任务中的持久化后门与恶意执行特征,确保本地环境绝对安全
敏感数据窃取阻断 (文件访问校验)
对核心资产实施严格的读写物理隔离。系统预设了严密的文件校验规则,严禁 AI 越权读取 `config.json`、`.env` 等包含 API 密钥与核心配置的敏感文件并将其外传。此外,安全引擎还会实时审计文件读取日志(如 `read_file` 工具的调用序列),从源头上彻底掐断凭证泄露与数据外带的可能。
MCP 技能安全审计
对于MCP类技能,工具会自动审计其上下文交互和数据处理逻辑,检测是否存在敏感信息泄露、未授权访问、危险指令注入等风险,并结合安全基线和白名单进行比对。
新技能下载与自动安全扫描
下载新技能时,工具会用审计脚本自动静态分析代码、比对安全基线和白名单、检测敏感信息和危险命令,确保技能安全合规后才加载。
防篡改哈希基线校验
为确保系统底层资产的绝对零信任,防护盾会持续为关键配置文件及记忆节点建立并维护 SHA256 加密签名基线。夜间巡检引擎会自动核对每一处文件哈希的时序变化,能在毫秒级瞬间捕捉到任何未授权的篡改或越权覆盖,从物理存储层彻底掐断本地后门植入与“投毒”风险。
自动化容灾备份快照轮转
鉴于本地 Agent 对文件系统拥有极高的读写权限,系统内置了最高级别的自动化容灾机制。防护引擎每晚会自动触发活跃工作区的全量沙箱级归档,并生成最高保留 7 天的安全快照机制(自动轮转)。即便遭遇极端情况下的意外损毁或误删除,也能实现开发环境的无损一键回滚,最大程度保障了本地数字资产的连续性与韧性。
4、免责声明
本指南仅作为安全实践的参考建议,不构成任何形式的安全保证。
1. 无绝对安全:本指南中描述的所有措施(包括确定性脚本、Agent Skills 和用户注意事项)均为”最佳努力”型防护,无法覆盖所有攻击向量。AI Agent 安全是一个快速演进的领域,新的攻击手法可能随时出现。
2. 用户责任:部署和使用 Nanobot 的用户应自行评估其运行环境的安全风险,并根据实际场景调整本指南的建议。因未正确配置、未及时更新或忽略安全警告而导致的任何损失,由用户自行承担。
3. 非专业安全审计替代品:本指南不能替代专业的安全审计、渗透测试或合规评估。对于涉及敏感数据、金融资产或关键基础设施的场景,强烈建议聘请专业安全团队进行独立评估。
4. 第三方依赖:Nanobot 依赖的第三方库、API 服务和平台(如 Telegram、WhatsApp、LLM 提供商等)的安全性不在本指南的控制范围内。用户应关注相关依赖的安全公告并及时更新。
5. 免责范围:Nanobot 项目的维护者和贡献者不对因使用本指南或 Nanobot 软件而产生的任何直接、间接、附带或后果性损害承担责任。
使用本软件即表示您理解并接受上述风险。
关于BitsLab
BitsLab 是一家专注于数字资产安全的 AI 安全公司,致力于为新兴 Web3 生态提供“审计服务 + AI 安全引擎 + 安全工具”一体化解决方案,帮助项目方和终端用户在链上更安全地构建、交易和使用数字资产。
在整体安全方案中,BitsLab 以 BitsLab AI Scanner + BitsLab Safe 构成完整的 AI 安全体系:BitsLab Safe 作为 基于AI 的 Web3 安全产品,提供企业级防护,实时模拟交易、识别诈骗与恶意合约,并依托 BitsLab 的 agentic security 安全栈保护 x402 支付与各类 AI Agent 的链上操作;BitsLab AI Scanner 基于漏洞与威胁数据引擎,执行智能审计与风险检测,大幅提升效率并减少误报。
BitsLab 旗下拥有 MoveBit、ScaleBit、TonBit 三个子品牌,继续深耕 Sui、Aptos、TON、Solana、Linea、BNB Chain、Soneium、Starknet 等新兴生态,提供专业审计与漏洞挖掘服务,帮助项目在高速迭代中保持核心基础设施的安全可控。BitsLab 团队由多位顶级漏洞研究专家组成,多次斩获国际 CTF 奖项,并在 TON、Aptos、Sui、Nervos、OKX、Cosmos 等知名项目中发现并披露过关键级漏洞,推动生态安全升级。
